Knight ransomware é uma recente renomeação do Cyclop Ransomware-as-a-Service, que mudou de nome no final de julho de 2023. O ransomware está sendo distribuído em uma campanha de spam em andamento que finge ser reclamações do TripAdvisor.

A operação Cyclops ransomware foi lançada em maio de 2023, quando os operadores começaram a recrutar afiliados para o novo ransomware como serviço (RaaS) no fórum de hackers RAMP.

Embora os e-mails reais não tenham sido compartilhados, os pesquisadores descobriram que os e-mails incluem anexos de arquivos ZIP chamados ‘TripAdvisorComplaint.zip’ que contêm um executável chamado ‘TripAdvisor Complaint – Possible Suspension.exe’.

Uma versão mais recente desta campanha identificada e analisada e agora inclui um anexo HTML chamado ‘TripAdvisor-Reclamação-[aleatório].PDF.htm’.

Ao criptografar os arquivos, o malware acrescentará a extensão .knight_l aos nomes dos arquivos criptografados. O ransomware também criará uma nota de resgate chamada How To Restore Your Files.txt em cada pasta do computador.

A nota de resgate nesta campanha exige que $ 5.000 sejam enviados para um endereço Bitcoin listado e também contém um link para o site Knight Tor.